Bonjour,
J'utilise plusieurs PI4 avec le système sur la SDCard sous forme d'un volume unique.
Mais je me pose une question sur la sécurisation de cette SDCard.
Car je prends la SD, je la monte sur un Linux quelconque et je peux bricoler dedans.
Niveau sécurité on a vu mieux.
Connaissez vous des solutions pour résoudre cette lacune ?
J'avoue que coté chiffrement et protection je suis néophyte alors je n'ai pas trop d'idée coté mise en œuvre d'une solution.
Chiffrer la SD me parait une piste mais comment faire en sorte que le contenu soit déchiffré automatiquement et sans que la clé soit sur la SD elle même ?
A vos avis :-)
Merci.
# TPM
Posté par NeoX . Évalué à 5.
la solution est dans le module TPM
mais je ne suis pas sur que ca existe sur RPi
l'idée est de chiffré puis de stocker la clef dans le TPM qui est un composant hardware sur la machine
du coup, si on retire le disque de la machine (ou la clef USB) le support devient indechiffrable sans 'casser' la clef
bon du coup avec juste la SDcard du RPI, je ne vois pas trop
au mieux tu auras le GRUB qui demande le mot de passe du volume chiffré, pour ensuite activer ce volume
ou tu auras une 2e clef USB branchée sur la machine qui contiendra la clef pour ouvrir le volume chiffré
# Chiffrer
Posté par Craig77 . Évalué à 2.
Il est déjà possible de chiffrer le disque. Avec yunohost et la briqueinter.net c'était implémenté de façon sympa. Au boot un mini serveur web permettait de rentrer la clef et de lancer le système.
# Si sur réseau local
Posté par lolop (site web personnel) . Évalué à 6.
Tu peux avoir la clé de déchiffrement installée sur un serveur qui n'est accessible que sur le réseau local → si volé et démarré hors de ce réseau, le disque ne peut plus être déchiffré.
Recherche Network Bound Disc Encryption (NBDE) + serveur tang — il y a des docs RedHat là dessus.
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
# Sécurité contre quoi ?
Posté par gUI (Mastodon) . Évalué à 9.
Est-ce que tu peux développer en disant de quoi tu veux te protéger ? Par exemple :
Ça aidera à te donner des conseils.
Et sinon ton soucis sur RPi et sa carte SD est le même pour 99,9% des ordis et leur SSD (sauf qu'il faut un tournevis).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Sécurité contre quoi ?
Posté par totof2000 . Évalué à 4.
En mettant le RPi dans un boîtier fermé avec des vis, le problème d'absence de tournevis ne se pose plus.
[^] # Re: Sécurité contre quoi ?
Posté par Maderios . Évalué à 1.
Déjà, si le système installé sur le Pi 4 était mentionné, cela éclairerait le choix des possibilités.
[^] # Re: Sécurité contre quoi ?
Posté par totof2000 . Évalué à 2.
J'ai l'impression que justement, le demandeur veut une solution "OS Agnostic" dans la mesure du possible.
Celà dit, j'ai l'impression que mis à part le chiffrement des partitions, il n'y a pas grand chose de mieux à faire, et je ne pense pas que le Raspberry Pi soit si différent d'un autre type de machine sur ce point. MAis comme dit précédemment, la question est surtout de savoir de quoi le PI veut se protéger.
# Complément
Posté par Philippe GRAILLE . Évalué à 1. Dernière modification le 06 juin 2023 à 16:30.
Merci de vos retours.
La Distrib est une Raspbian.
Il s'agit effectivement d'un équipement qui contrôle une machine à partir d'une électronique maison.
Le but premier est d'éviter que quelqu'un accède aux fichiers.
Mais il faut que ça boote tout seul … donc la solution saisie du mot de passe au boot n'est pas bonne.
D'autre part, le souhait serait d'éviter le clonage de la SDCard. (Mais la plus compliqué).
J'ai bien trouvé ça : https://www.swissbit.com/en/products/security-products/secure-boot-solution/
Mais ça ne marche pas avec la clé USB sur le PI4.
[^] # Re: Complément
Posté par ChocolatineFlying . Évalué à 3.
je ne sais pas si cela va être possible simplement, tu prend l'adresse mac de ton pi + sha1 pour avoir la clé de chiffrement, et comme cela tu as tous sous la main
[^] # Re: Complément
Posté par gUI (Mastodon) . Évalué à 5.
Une piste serait peut-être d'utiliser un module TPM pour stocker la clé de manière sécure et pouvoir booter automatiquement quand même ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Complément
Posté par Philippe GRAILLE . Évalué à 1.
Merci pour ce lien très instructif.
[^] # Re: Complément
Posté par millman . Évalué à 1.
J'ai une solution, mais complexe à mettre en œuvre. L'idée, c'est en effet de chiffrer les partitions (avec dm-crypt) qui contiennent le système et les données sensibles. La clé pourra être stockée directement dans l'OTP de la Rasberry PI (c'est un espace de stockage qui une fois écrit ne peut pas être altéré).
Il faut ensuite créer un initramfs spécial qui va lire la clé dans l'OTP pour l'utilisé ensuite avec dm-crypt.
Avec cette solution les données sont chiffrées et ne peut lui que par la Raspberry PI et la Raspberry PI démarre toute seule.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.